内部控制与风险管理关系.docVIP

内部控制与风险管理关系 　　【摘 要】企业风险管理与内部控制既有联系又有区别，本文对COSO报告下内部控制与风险管理的关系进行了分析，对在风险管理的框架下如何加强和完善内部控制提出了几点建议。 　　【关键词】内部控制；风险管理；关系 　　中图分类号：C931 文献标识码：A 文章编号：1009-8283(2009)03-0065-01 　　 　　1 引言 　　内部控制理论的发展经过了内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。1992年，COSO委员会颁布了《内部控制――整体框架》报告，认为内部控制是由企业的董事会、管理层、和其他成员实施的，为营运的效率、效果财务报告的可靠性以及法律规章的遵循性提供合理保证的过程。它是由控制环境、风险评估、控制程序、信息与沟通和监督五大要素组成的。该框架得到了世界很多企业认可，并为内部控制的权威规定所借鉴。 　　另一方面，理论界和实务界也对其提出了新建议，要求内部控制与风险管理结合。2004年9月COSO委员会颁布了《企业风险管理――总体框架》新报告。报告指出：企业风险管理是一个过程，该过程由企业董事会、管理层和其他员工共同参与，应用于战略制定，贯穿于企业各层级和部门，为识别影响企业的潜在事项和在风险偏好范围内管理风险而设计，为企业目标的实现提供合理保证；提出了内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控八个相互联系要素。 　　 　　2 内部控制与风险管理关系研究回顾 　　第一种观点是风险管理包含内部控制。正如COSO委员会所指出，企业风险管理框架并未取代内部控制，而是将内部控制框架整体纳入其中。英国Turnbull 委员会(2005)认为，公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。 　　第二种观点是内部控制包含风险管理。加拿大COCO 报告认为，“控制”是一个组织中支持该组织实现其目标诸要素的集合体，实质上就是“内部控制”。CICA(1998)阐明了风险管理与控制的关系：“当您在抓住机会和管理风险时，您也正在实施控制”。 　　第三种观点，即内部控制就是风险管理。Blackburn (1999) 认为风险管理与内部控制仅是人为的分离，而在现实的商业行为中，它们是一体化的。Matthew Leitch (2004) 认为，理论上，风险管理系统与内部控制系统没有差异，这两个概念正在变为同一事物。 　　 　　3 基于COSO报告下的内部控制与风险管理比较 　　3.1 相同点 　　1、它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。 　　2、它们都明确是一个“过程”，其本身并不是一个结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。 　　3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。 　　3.2 不同点 　　1、内容上，企业风险管理除包括原内部控制的三个目标之外，还增加了战略目标；这意味着风险管理介入了企业战略制订过程，风险管理比内部控制的层次更高，范围更广。另外，企业风险管理将风险评估要素拓展为目标设定、事项识别、风险评估及风险应对等四个要素。还引入了风险组合管理理念以及风险偏好、风险容忍度等新的概念。 　　2、技术方法上，风险管理更注重对风险的定量分析与管理。比如，在风险评估要素方面，针对风险大小的定量度量提出了多种技术方法，包括VAR(value at risk)、风险现金流量、风险收益、损失分布、事后检验等概率技术和敏感性分析、情景分析、压力测试、设定基准等非概率技术。 　　 　　3 内部控制与风险管理的内在联系 　　《内部控制――整体框架》之所以升级为《企业风险管理――整体框架》，根本原因在于内部控制的出发点与最终目的都是为了控制和管理风险。虽然内部控制的目标与控制层次不断提升，但风险控制与管理始终是核心主线，只是其风险控制的目标、内容和层次伴随企业的环境、经营的模式以及企业制度的变迁而变化。从语义上说，内部控制就是控制风险，控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。内部控制主要是从风险控制的方式和手段说明风险控制的，风险管理就是从风险控制的目的来说明风险控制的。当然，风险管理的提法更凸显了风险的重要性。因为传统的内部控制为企业构筑的“防护墙”已很难抵挡市场瞬息万变带来的风险。风险管理无疑是内部控制在新形